Các hoạt động mạng đôi do các tác nhân đe dọa Iran được nhà nước bảo trợ tiến hành thể hiện sự tập trung liên tục của họ vào việc biên soạn hồ sơ chi tiết về các công dân Iran có thể đe dọa sự ổn định của Cộng hòa Hồi giáo, bao gồm những người bất đồng chính kiến, lực lượng đối lập, những người ủng hộ ISIS và người bản địa Kurd.
Truy tìm các hoạt động gián điệp quy mô của hai nhóm mạng tiên tiến của Iran Mèo con trong nước (hoặc APT-C-50) và Infy, công ty an ninh mạng Check Point đã tiết lộ bằng chứng mới và gần đây về các hoạt động đang diễn ra của họ liên quan đến việc sử dụng bộ công cụ phần mềm độc hại đã được tân trang lại cũng như lừa người dùng vô tình tải xuống phần mềm độc hại dưới vỏ bọc của các ứng dụng phổ biến.
“Cả hai nhóm đã tiến hành các cuộc tấn công mạng kéo dài và các chiến dịch giám sát xâm nhập nhằm vào cả thiết bị di động và máy tính cá nhân của từng cá nhân” Điểm kiểm tra các nhà nghiên cứu cho biết trong một phân tích mới. “Những người điều hành các chiến dịch này rõ ràng là chủ động, nhạy bén và liên tục tìm kiếm các phương tiện tấn công và kỹ thuật mới để đảm bảo tuổi thọ của các hoạt động của họ.”
Mặc dù có sự chồng chéo về các nạn nhân và loại thông tin tích lũy, hai tác nhân đe dọa được coi là hoạt động độc lập với nhau. Các nhà nghiên cứu cho biết “hiệu ứng hiệp đồng” được tạo ra bằng cách sử dụng hai bộ vectơ tấn công khác nhau để tấn công cùng một mục tiêu không thể bị bỏ qua.
Kitten trong nước bắt chước ứng dụng nhà hàng Tehran
Kitten trong nước, đã được hoạt động từ năm 2016, đã được biết là nhắm mục tiêu vào các nhóm cá nhân cụ thể bằng các ứng dụng Android độc hại thu thập thông tin nhạy cảm như tin nhắn SMS, nhật ký cuộc gọi, ảnh, video và dữ liệu vị trí trên thiết bị cùng với bản ghi âm giọng nói của họ.
Theo Check Point, phát hiện bốn chiến dịch đang hoạt động, trong đó gần đây nhất bắt đầu vào tháng 11 năm 2020, theo Check Point, tác nhân APT-C-50 đã được phát hiện sử dụng nhiều loại ứng dụng cover, bao gồm VIPRE Mobile Security (một ứng dụng bảo mật di động giả mạo), Exotic Flowers (một phiên bản đóng gói lại của trò chơi có sẵn trên Google Play) và Woman Ninja của Iran (một ứng dụng hình nền), để phát tán một phần mềm độc hại có tên FurBall.
Hoạt động mới nhất vào tháng 11 cũng không khác, lợi dụng một ứng dụng giả mạo cho Nhà hàng Mohsen ở Tehran để đạt được mục tiêu tương tự bằng cách dụ nạn nhân cài đặt ứng dụng bằng nhiều vectơ – tin nhắn SMS có liên kết tải xuống phần mềm độc hại, một blog của Iran lưu trữ tải trọng và thậm chí được chia sẻ qua các kênh Telegram.
Các nhà nghiên cứu cho biết các mục tiêu nổi bật của cuộc tấn công bao gồm 1.200 cá nhân ở Iran, Mỹ, Anh, Pakistan, Afghanistan, Thổ Nhĩ Kỳ và Uzbekistan, với hơn 600 trường hợp lây nhiễm thành công được báo cáo.
Sau khi được cài đặt, FurBall tự cấp cho mình quyền rộng rãi để thực thi ứng dụng tự động mọi lúc khi khởi động thiết bị và tiến hành thu thập lịch sử trình duyệt, thông tin phần cứng, tệp trên thẻ SD bên ngoài và định kỳ lọc video, ảnh và bản ghi cuộc gọi 20 giây một lần.
Nó cũng giám sát nội dung khay nhớ tạm, có quyền truy cập vào tất cả các thông báo mà thiết bị nhận được và đi kèm với khả năng thực hiện từ xa các lệnh được đưa ra từ máy chủ lệnh và điều khiển (C2) để ghi âm thanh, video và cuộc gọi điện thoại.
Điều thú vị là FurBall dường như dựa trên một Phần mềm gián điệp có sẵn trên thị trường có tên là KidLogger, ngụ ý rằng các diễn viên “lấy được mã nguồn KidLogger hoặc thiết kế ngược một mẫu và loại bỏ tất cả các phần không liên quan, sau đó bổ sung thêm các khả năng.”
Infy trả lại với phần mềm độc hại giai đoạn hai mới, không xác định trước đây
Lần đầu tiên được phát hiện trong Tháng 5 năm 2016 bởi Palo Alto Networks, hoạt động được gia hạn của Infy (còn được gọi là Prince of Persia) vào tháng 4 năm 2020 đánh dấu sự tiếp tục của các hoạt động mạng của nhóm nhằm vào những người bất đồng chính kiến Iran và các cơ quan ngoại giao trên khắp châu Âu trong hơn một thập kỷ.
Trong khi nỗ lực giám sát của họ đánh bại vào tháng 6 năm 2016 sau hoạt động gỡ xuống của Palo Alto Networks để đánh chìm cơ sở hạ tầng C2 của nhóm, Infy trở lại vào tháng 8 năm 2017 với các kỹ thuật chống tiếp quản cùng với trình đánh cắp thông tin Windows mới có tên là Foudre.
Nhóm cũng được đề xuất có quan hệ với Công ty Viễn thông của Iran sau khi các nhà nghiên cứu Claudio Guarnieri và Collin Anderson được tiết lộ bằng chứng vào tháng 7 năm 2016 rằng một tập hợp con của các miền C2 chuyển hướng đến hố chìm đã bị chặn bởi giả mạo DNS và lọc HTTP, do đó ngăn chặn quyền truy cập vào hố chìm.
Sau đó, vào năm 2018, Intezer Labs đã tìm thấy một phiên bản mới của phần mềm độc hại Foudre, được gọi là phiên bản 8, cũng chứa một “nhị phân không xác định” – bây giờ được đặt tên là Tonnerre bởi Check Point, được sử dụng để mở rộng các khả năng của cái trước.
Các nhà nghiên cứu cho biết: “Có vẻ như sau một thời gian dài ngừng hoạt động, những kẻ tấn công mạng Iran đã có thể tập hợp lại, khắc phục các sự cố trước đó và củng cố đáng kể các hoạt động OPSEC của chúng cũng như trình độ kỹ thuật và khả năng của các công cụ của chúng”.
Có đến ba phiên bản của Foudre (20-22) đã được phát hiện kể từ tháng 4 năm 2020, với các biến thể mới tải xuống Tonnerre 11 làm trọng tải giai đoạn tiếp theo.
Chuỗi tấn công bắt đầu bằng cách gửi email lừa đảo chứa các tài liệu thu hút được viết bằng tiếng Ba Tư, khi đóng lại, sẽ chạy một macro độc hại làm rớt và thực thi cửa hậu Foudre, sau đó kết nối với máy chủ C2 để tải xuống bộ cấy Tonnerre.
Bên cạnh việc thực hiện các lệnh từ máy chủ C2, ghi lại âm thanh và chụp ảnh màn hình, điều khiến Tonnerre nổi bật là việc sử dụng hai bộ máy chủ C2 – một để nhận lệnh và tải xuống các bản cập nhật bằng HTTP và một máy chủ thứ hai mà dữ liệu bị đánh cắp được lấy ra từ đó. qua FTP.
Ở 56MB, kích thước bất thường của Tonnerre cũng có thể hoạt động có lợi cho nó và tránh bị phát hiện vì nhiều nhà cung cấp bỏ qua các tệp lớn trong quá trình quét phần mềm độc hại, các nhà nghiên cứu lưu ý.
Tuy nhiên, không giống như trong nước Kitten, chỉ có vài chục nạn nhân được tìm thấy là mục tiêu của cuộc tấn công này, bao gồm những người đến từ Iraq, Azerbaijan, Anh, Nga, Romania, Đức, Canada, Thổ Nhĩ Kỳ, Mỹ, Hà Lan và Thụy Điển.
“Những người điều hành các chiến dịch gián điệp mạng Iran này dường như hoàn toàn không bị ảnh hưởng bởi bất kỳ hoạt động chống trả nào do những người khác thực hiện, mặc dù chúng đã được tiết lộ và thậm chí bị dừng trong quá khứ – đơn giản là chúng không dừng lại”, Yaniv Balmas, người đứng đầu mảng mạng cho biết nghiên cứu tại Check Point.
“Những người điều hành chiến dịch này chỉ đơn giản là học hỏi từ quá khứ, sửa đổi chiến thuật của họ và tiếp tục chờ một thời gian cho cơn bão đi qua để rồi lại tiếp tục tấn công nó. Hơn nữa, cần lưu ý rằng chế độ Iran sẵn sàng cung cấp nguồn lực tuyệt đối. để sử dụng quyền kiểm soát của họ. “
